开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

什么时候(如果有的话)是eval而不是邪恶？

eval函数是一种在编程中用于执行字符串形式的代码的方法。它可以将字符串作为代码进行解析和执行。尽管eval函数在某些情况下可能会被认为是邪恶的，但在以下情况下，eval函数可能是合适和有用的：

动态代码执行：当需要在运行时根据某些条件或用户输入执行动态代码时，eval函数可以派上用场。例如，当需要根据用户输入的数学表达式计算结果时，可以使用eval函数来执行该表达式。
插件或扩展系统：在某些情况下，eval函数可以用于实现插件或扩展系统，允许用户通过提供代码片段来扩展应用程序的功能。这种情况下，eval函数可以用于执行用户提供的代码。
动态生成代码：有时候需要根据某些规则或模板动态生成代码。eval函数可以用于执行生成的代码，以便实现所需的功能。

需要注意的是，使用eval函数时应谨慎，因为它可能存在安全风险。如果执行的代码来自不可信的来源，可能会导致代码注入攻击或执行恶意代码。因此，在使用eval函数时，应该对输入进行严格的验证和过滤，以确保执行的代码是安全的。

腾讯云相关产品和产品介绍链接地址：

云函数（Serverless）：https://cloud.tencent.com/product/scf
人工智能机器学习平台（AI Lab）：https://cloud.tencent.com/product/ai
云数据库 MySQL 版（TencentDB for MySQL）：https://cloud.tencent.com/product/cdb_mysql
云存储（对象存储 COS）：https://cloud.tencent.com/product/cos
云安全中心（Security Center）：https://cloud.tencent.com/product/ssc

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

深入了解 Eval

eval的结果是最后一条语句的结果。...使用 eval 在现代编程中，eval的使用非常少。人们常说“eval是邪恶的”。原因很简单:很久很久以前，JavaScript是一门弱得多的语言，许多事情只能用eval来完成。...现在，几乎没有理由使用eval。如果有人正在使用它，他们很有可能用一个现代的语言结构或JavaScript模块来替换它。请注意，它访问外部变量的能力有副作用。...这通常是安全的，但如果使用eval，则不是，因为局部变量可以从eval的代码字符串访问。因此，minifier不会对eval中可能可见的所有变量进行重命名。这对代码压缩比有负面影响。...在eval中使用外部局部变量也被认为是一种糟糕的编程实践，因为它使维护代码变得更加困难。有两种方法可以完全避免这些问题。

7402 0

javascript:巧用eval函数组装表单输入项为json对象

在ajax方式做web开发时，经常会遇到会保存前，收集表单输入项，组成json对象，然后把对象直接post到服务端的场景常规做法是在js里写类似如下的代码: var myObj = {}; myObj.x...好在javascript中有一个邪恶的eval函数，可以帮我们完成一些类似c#反射的工作，比如下面这样: eval('A={}'); if (A.b==undefined) { A.b = {...}; } eval('A.b.c = 1'); alert(A.b.c); 这样，我们就动态创建了一个复合对象A，明白其中原理后，可以对表单做些改进: 运单号：<input type="text...="false"){ eval(modelName + "." + itemName + "='" + itemValue + "';"); } } var selectArr... 这样，只要form元素的name属性正确设置，需要收集表单对象时，调用一下setFormModel函数，就能快速得到一个json对象(当然这只是示例，仅处理了一级属性的情况，如果有多级属性

1.5K5 0

《JavaScript语言精粹》学习笔记

array只有一个属性，就是length，length表示的是数组所占内存空间的数目，而不仅仅是数组中元素的个数....// 同样可以检测是否是数组 Object.prototype.toString.apply(array) === '[object Array]' arguments数组不是一个数组，它只是一个有着... undefined和null是全局变量。 hasOwnProperty 只是一个方法，而不是一个运算符，所以在任何对象中，他可能会被一个不同的函数甚至一个非函数的值所替换。...Function的构造器是eval的另一种形式，也应该避免使用它。...写在后面 GitHub上集大家之力搞了一个前端面试题的项目，里面都是大家面试时所遇到的题以及一些学习资料，有兴趣的话可以关注一下。如果你也有兴趣加入我们的话，请在项目中留言。

3602 0

编写可维护代码3：适当的抛出错误提示

在js开发中，调试错误是一个比较头疼的事，又不像java的debug那么方便，定位错误往往不是那么容易，除非对代码熟悉无比，但即使是自己写的代码，功能一复杂，时间一长，再想快速定位问题，至少我现在是比较头疼的...此时，如果有一个比较友好的错误提示，那解决问题的效率将大大提高。所以是时候学会在合适的地方抛出错误提示了。...当以这种方式抛出错误时，如果没有经try-catch语句来捕获的话，浏览器通常直接在控制台显示错误消息字符串。通常在抛出的错误提示字符串中，应尽量写清错误目标和原因。...那什么时候需要抛出错误呢？修复一个自认为较复杂的错误后，及时增加相应的自定义错误提示。写代码时，思考不想要发生的程序时，针对这个不想要发生的事，抛出错误提示。...SyntaxError：给eval()函数传递的代码中有语法错误时抛出 TypeError：变量不是期望类型时抛出。

9915 0

JavaScript糟粕部分

JavaScript是一门优秀的语言，但是难免存在着某些缺点，本博文主要说明下JavaScript的一些缺点。 JavaScript有两组相等的运算符：===和!==，以及他们邪恶的孪生兄弟==和!...最好永远不要使用那对邪恶的孪生兄弟。相反的，请始终使用===和!==。如果上面的比较都是用===运算符，结果都是false，在编程中规定使用，很是受益。 ⚠️传递性是一种编程约定。...例如你知道点表示法，但是不知道下标表示法，就可能会这么写： eval("myValue = myObject." + myKey + ";"); 而不是这么写： myvalue = myObject[myKey...单行语句的形式是另一种带刺的玫瑰。它带来的好处是可以节省两个字节，但这是不是一个好处值得商榷。它模糊了程序的结构，使得在随后的操作代码中可能容易插入错误。...如果忘记了使用此new运算符，你得到的就是一个普通的函数调用，并且this被绑定到全局对象，而不是新创建的对象。者意味着当你的函数尝试去初始化新成员属性时它将会污染全局变量。这是一件非常糟糕的事情。

4541 0

什么叫0day和Warez？游戏网络应用

�o�o世界上并不存在某个叫做“warez”或者“0day”这样“邪恶”的组织，“0day”是一种自发的网络运动而已，“warez”是对破解的泛称；如果有人说他属于“0day组织”，并不是说他真的在一个叫做...破解补丁与注册机是最考验cracker的东西了，原则上能写出完美注册机的是最好情况，不行的话，就要用破解补丁了。...�o�o世界上并不存在某个叫做“warez”或者“0day”这样“邪恶”的组织，“0day”是一种自发的网络运动而已，“warez”是对破解的泛称；如果有人说他属于“0day组织”，并不是说他真的在一个叫做...破解补丁与注册机是最考验cracker的东西了，原则上能写出完美注册机的是最好情况，不行的话，就要用破解补丁了。...�o�o世界上并不存在某个叫做“warez”或者“0day”这样“邪恶”的组织，“0day”是一种自发的网络运动而已，“warez”是对破解的泛称；如果有人说他属于“0day组织”，并不是说他真的在一个叫做

1.2K4 0

@程序员，技术债你还清了吗？

但是，如果我们都认识到保持健康的代码库，是工作的重要部分，那么为何我们常常发现“价值”，占据了我们100%的工作时间，而投入到“维护”的时间几乎为0呢？我们知道维护是必须的。我们的技术负责人知道。...最常见的解释理由是“产品经理是大坏蛋”的理论：我没法去做技术维护，因为这个邪恶的商人不断给我分配功能开发。...而且即便他们不想这么做，我们还有技术人员，保持技术方面的健康是技术领导团队的工作。其次，根据我们以上的观察，维护是你的工作的一部分。 ? 从什么时候开始你的工作需要领导批准？...请记住——我这里说的是“我没这么做”，而不是说“我努力了，但是做不到”。为什么我们不愿尝试维护？假设你是一个典型的开发人员。某一天，他们可以选择创造价值还是做维护。...比较一下，对于你个人而言，如果有100次机会，可以改进或维护代码库，但是这100次你统统没有做，那么你认为后果是什么？

3272 0

python3编程基础：str()、repr()的区别

什么时候用str？什么时候用repr?...str方法，直接调用的是类的repr方法；在文件模式下没有print的话是不会有输出值的，自己定义一个类A，验证以上结论： >>> class A(): ... ... 根据以上代码示例，可以得出只有当repr再次作用在字符串上时会多一层引号，那么这一特性在拼接完字符串用eval执行时是特别有用的，如果不用repr而是采用str会报错，举例，将字符串s = 'abdcf...'转换成列表，如果用eval自己实现的话可以这样写： >>> s = 'abdcf' >>> eval('['+','.join([repr(i) for i in s])+']') ['a', 'b...，外层会多一对引号，这一特性有时候在eval操作时特别有用； 2.命令行下直接输出对象调用的是对象的repr方法，print输出调用的是str方法

4190 0

数据科学 IPython 笔记本 7.15 高性能 Pandas

我们将在这里讨论的 Pandas eval()和query()工具，在概念上是相似的，并且依赖于 Numexpr 包。...eval()方法的好处是列可以通过名称引用。...np.allclose(result1, result2) # True 这里的@字符标记变量名而不是列名，并允许你高效计算涉及两个“名称空间”的表达式：列的名称空间和 Python 对象的名称空间。...< Cmean)] result2 = df.query('A < @Cmean and B < @Cmean') np.allclose(result1, result2) # True 性能：什么时候使用这些函数...在实践中，我发现传统方法和eval/query方法之间的计算时间差异，通常不大 - 如果有的话，传统方法对于较小的数组来说更快！

6421 0

go 学习笔记之学习函数式编程前不要忘了函数基础原

标准的函数式编程具有浓厚的数学色彩,幸运的是,Go 并不是函数式语言,所以也不必受限于近乎苛责般的条条框框....谁让你只是使用者而不是设计者呢!...evalWithFunctionalStyle 函数依然是使用者的主场,和上例相比的唯一不同之处在于,你的主场你做主,什么时候裁判完全自己说了算,并不是运行后就立马宣布结果. func pow(a, b...有点神奇,目前还不理解这是什么操作,如果有 Go 语言的大佬们不吝赐教的话,小弟感激不尽!...函数是函数式编程的基础,支持函数式编程但并不是函数式语言. 没有纯粹函数式编程的条条框框,更加灵活自由,良好的可读性.

5404 0

高等教育加入区块链党

Komarny解释道，Blockchain可以提供一种验证这些证书的方法，并允许学生“拥有”他们的学习证明，而不是大学的注册商。例如，一个人的记录就在他们身边，例如寻找新的工作。...“我们有机会制造一些非常有趣的东西，或者制造一些非常邪恶的东西，”他说。“ 担心欺诈行为，比如有人拍摄大学学位，是另一个担心，一些支持者引用了高级版块链的使用案例。...主持人悉尼·约翰逊向专家小组成员询问了这个问题实际上是多么的严重，如果有什么措施的话，注册服务机构正在努力。 Komarny回答说，欺诈在中国等国家是严重问题，但它在美国也经常是一个挑战。...她补充说，“聪明的密码术”可以隐藏区块链上的某些数据 - 所以数据不是一定被遗忘了，却一起隐藏起来。...然而，她最关心的是如果区块链技术不能生存下去的话。她警告说，存储的认证数据将来可能无法使用。桑塔纳说，最终，从凭据中获得的价值取决于雇主如何认识到这一点。

1.1K6 0

如何用python绘制一系列三维的逗比风格表情包

当你和别人斗图斗得天昏地暗、地动山摇的时候，你有没有想过，如果有一个三维的逗比表情包，你就可以对别人进行360度的全方位无死角嘲讽了！想到这里，你是不是由衷地在心里发出了豪爽而邪恶的笑声？...而现在，python就可以满足你这一不可告人的愿望！照例，我们用到的还是matplotlib的三维渲染。...首先，我们要有一张表情包的图片，最好是长度是宽度的两倍，这样的话，平面图片映射到球体上以后，变形会相对小一些。如果原始图片不符合要求，可以在画图工具里面重新调整大小，像下图这样： ?...那么，首先，表情包原图是这样的： ?...np.outer(np.sin(u),np.cos(v)) z=b*np.outer(np.ones(np.size(u)),np.sin(v)) 下文的最终绘制过程中，我们需要用到plot_surface函数，而该函数中有一个参数是

7942 0

谷歌智能数字助理开枪了: 我们得谈谈

从打开电灯、设置提醒、令人信服地模仿人类说话等，在日常工作中人工智能助手的能力是如此强大，令人恐惧。不过，它最新的(非官方的)能力有点险恶。...幸运的是，受害者是一个苹果，而不是一个活着的生物。这段时长30秒的视频名为“谷歌shoot”，显示Reben说“OK谷歌，激活枪”。...对于这个项目，他选择使用谷歌Assistant，但表示它可能是Amazon Echo，也可能是其他输入设备。与此同时，该设备引发的“可能是一个背部按摩椅或冰淇淋机”。但雷本选择用枪来武装助手。...不难想象，如果有一天，数字助理可以杀死那些让我们心烦意乱的人，如果有武器的话。那么谁要对这些人的死亡负责呢? 如果说我们应该阻止人工智能进入危险设备，这很容易。...然而，这是一篇更具争议性的文章，它迫使观众想象，如果邪恶的程序员制造出一个失控的人工智能，会发生什么。现在，我们比以往任何时候都更需要讨论如何，防止智能机器杀死我们所有人。

3842 0

vue基础（一）

parseInt(this.n2) break; } */ // 注意：这是投机取巧的方式，正式开发中，尽量少用 //eval...var codeStr = 'parseInt(this.n1) ' + this.opt + ' parseInt(this.n2)' this.result = eval...active':'']">这是一个邪恶的H1 数组中嵌套对象这是一个邪恶的H1...如果数据项的顺序被改变，Vue将不是移动 DOM 元素来匹配数据项的顺序，而是简单复用此处每个元素，并且确保它在特定索引下显示已被渲染过的每个元素。...Vue指令之v-if和v-show 一般来说，v-if 有更高的切换消耗而 v-show 有更高的初始渲染消耗。

5361 0

petite-vue源码剖析-沙箱模型

(这个可以通过Proxy处理) 沙箱的材料-with+Proxy+eval/new Function 什么是with？...JavaScript采用的是语法作用域（或称为静态作用域），而with则让JavaScript拥有部分动态作用域的特性。...具体表现为当with中调用外部定义的函数，那么在函数体内访问绑定时，由于由with创建的临时作用域将被函数作用域替代，而不是作为函数作用域的父作用域而存在，导致无法访问with创建的作用域中的绑定。...邪恶的eval eval()函数可以执行字符串形式的JavaScript代码，其中代码可以访问闭包作用域及其父作用域直到全局作用域绑定，这会引起代码注入(code injection)的安全问题。...通过原型链实现逃逸 JavaScript中constructor属性指向创建当前对象的构造函数，而该属性是存在于原型中，并且是不可靠的。

3572 0

浅谈文件上传漏洞(其他方式绕过总结)

需要注意的是Unix和Linux没有这种特性，因为他们不区分大小写。四，0x00 截断绕过这里的00对应的是16进制里面的，相当于一个空格，当系统读取到设置的那里就会停止向下读取。实现咱们的目的。...五， .htaccess文件攻击这个就比较邪恶了，如果可以上传.htaccess文件的话，文件里面输入如下内容 SetHandler application...1.3 服务端文件内容检测绕过如果对文件内容检测较为严格，可以在图片中插入一句话木马，如果手工插的话可能破坏图片结构，推荐使用工具插入，比如 edjpgcom ,只需要将托向它，它会弹出一个框框，在里面输入一句话木马就可以了...1）目录解析在服务器中，如果有个.asp后缀的目录，此目录下的任何格式，都会以.asp脚本执行，如 http://www.hahaha.com/haha.asp/ha.png 2) 文件解析如果在一个文件...php eval ($_POST[cmd])?>');?

1K5 0

如果你不知道做什么，那就学一门杂学吧

“是不是觉得你已经掌握了Python的基本语法，看着别人把Python用的溜溜转，而你自己却不知道用它来做什么？” “是这样的，你懂我。” “那你学一门杂学吧。”...“你是爬虫工程师还是水利工程师？” “你知道吗，不管上游的水势多么凶猛，从大坝出来以后总是安全而稳定。”S君并没有回答我的问题，而是自顾自地说道。 “原来你开始用Kafka。不错，孺子可教。”...我是不是要去学习分库分表搭建集群啊？” 我告诉S君：“这个后面你自然是需要去做的。但现在，你可以先试一试Kafka，我已经搭建好了一个Kafka的集群了，你这样使用……”。...难道是JSON的超集？S君一通搜索，发现用YMAL库也许可以解析这种数据。于是安装YMAL库，一解析又报错。难道这些数据直接就是Python的字典？于是S君用上了邪恶的eval。...“你什么时候学会的Node.js？” “这不是师傅你说过技多不压身吗？既然做爬虫需要动JavaScript，那我顺手就把Node.js给学了。”S君毫不畏惧的表情，似乎证明他已经猜透了我要问什么。

6371 0

CrowdStrike：我们挡住了中国黑客组织飓风熊猫（HURRICANE PANDA）的攻击

而APT（高级可持续性威胁）攻击并不是这样——真正有目的性的攻击者并不会考虑战斗或者使命什么时候结束，直至被发现或被踢出网络的那一刻才算暂时中止。他们的工作就是入侵到某网站，然后潜伏在其中。...然而HURRICANE PANDA的战斗并没有终止…… 随之而来的是，重新发起攻击的飓风熊猫选择使用China Chopper webshell（中国菜刀）——它是一个微小、易被忽略且只有70字节的文本文件...，里面包含一个‘eval()’命令，会为攻击者提供完整的命令执行权限和文件上传/下载能力。...如果攻击者足够幸运，恰好在管理员登录web服务器的时候发动攻击的话，便可窃取到域名管理员证书，然后在webshell 终端执行‘net use’和‘wmic’命令，之后便可畅游受害者网络了。...而CrowdStrike很快检测并阻止了木马后门China Chopper webshell。

1.7K5 0

前端那些事儿：绕过XSS过滤对自动化暗链检测带来的启发

这种一般是通过JS的document.refere字段来实现的: HTTP Header referer这玩意主要是告诉人们我是从哪儿来的，就是告诉人家我是从哪个页面过来的，可以用于统计访问本网站的用户来源...防盗链也很简单了，js里判断来路url如果不是本站不显示图片，嘿嘿。但是黑客可以通过这个方法来实现区别用户的跳转或者是区别修改网页的一些内容。...通过这种方式可能会绕过一些过滤不是那么严格的规则。...x77\x2e\x62\x61\x69\x64\x75\x2e\x63\x6f\x6d") 这段代码调用window对象属性方法来打开baidu，当然也可以通过调用其他方法进行跳转到邪恶网站...打开有些js文件看到的eval(function(p,a,c,k,e,d)开头，只有结尾部分有很多竖线|间隔的字符，这是eval混淆了的。

1.5K2 0

JavaScript eval() 函数

定义和用法 eval() 函数可计算某个字符串，并执行其中的的 JavaScript 代码。语法 eval(string) 参数描述 string 必需。...返回值通过计算 string 得到的值（如果有的话）。说明该方法只接受原始字符串作为参数，如果 string 参数不是原始字符串，那么该方法将不作任何改变地返回。...如果试图覆盖 eval 属性或把 eval() 方法赋予另一个属性，并通过该属性调用它，则 ECMAScript 实现允许抛出一个 EvalError 异常。...如果非法调用 eval()，则抛出 EvalError 异常。如果传递给 eval() 的 Javascript 代码生成了一个异常，eval() 将把该异常传递给调用者。...2 看一下在其他情况中，eval() 返回的结果： eval("2+3") // 返回 5 var myeval = eval; // 可能会抛出 EvalError 异常 myeval("2+3");

8372 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭